Mengenal Brain Cipher, Hacker yang Klaim Bakal Kasih Kunci Data PDNS Gratis

KOMPAS.com - Di dark web, terdapat akun yang mengatasnamakan Brain Cipher dan baru-baru ini mengumumkan akan memberikan kunci secara gratis untuk membuka data PDNS (Pusat Data Nasional Sementara).

Beberapa waktu lalu, tepatnya pada 20 Juni 2024, PDNS yang berfungsi sebagai tempat mengelola dan menyimpan data dari layanan instansi pemerintah, telah diserang dengan ransomware berjenis LockBit 3.0 bernama Brain Cipher.

Serangan ransomware LockBit 3.0 Brain Cipher diketahui setelah tim yang terdiri dari Badan Siber dan Sandi Negara (BSSN), Kementerian Komunikasi dan Informatika (Kominfo), Cybercrime Polri, dan Telkom Sigma, telah melakukan investigasi.

Serangan ini mengakibatkan total 210 layanan yang menggunakan PDNS mengalami gangguan dan mulai bisa kembali beroperasi empat hari kemudian, pada 24 Juni 2024. Selayaknya ransomware lain, dalam serangan ke PDNS, peretas juga meminta tebusan.

Untuk diketahui, ransomware beroperasi dengan mengenkripsi data korban. Setelah terkunci, peretas meminta tebusan ke korban untuk membuka data. Pada serangan ke PDNS, hacker sempat meminta tebusan ke pemerintah sebesar 8 juta dollar AS (sekitar Rp 131 miliar).

Saat itu, pemerintah dengan tegas menolak memberikan tebusan dan data yang terkunci tidak bisa dipulihkan. Menurut Direktur Jenderal Informasi dan Komunikasi Publik Kemenkominfo Usman Kansong, Data tersebut dibiarkan di server PDNS dan aksesnya diisolasi.

“Ya pemerintah kan enggak mau menebus, sudah dinyatakan tidak akan memenuhi tuntutan Rp 131 miliar,” kata Usman Kansong pada Rabu (26/6/2024), dikutip dari Kompas.com.

“Iya dibiarkan saja di dalam, sudah kita isolasi. Jadi enggak bisa diapa-apain. Enggak bisa diambil oleh dia (peretas) juga,” ungkap Usman.

Pihak pemerintah yang terdiri dari Kemenkominfo dan BSSN sempat dimintai pertanggungjawaban terkait data PDNS yang tidak bisa dipulihkan karena ransomware, oleh Komisi I DPR RI dalam rapat kerja yang diselenggarakan pada 27 Juni 2024.

Setelah drama data PDNS yang tidak bisa dipulihkan ini terjadi, tiba-tiba terdapat akun yang mengatasnamakan Brain Cipher, nama yang sama seperti nama ransomware yang menyerang PDNS, mengeklaim bakal memberikan kunci untuk memulihkan data.

Mereka mengumumkan akan memberikan kunci itu secara gratis pada Rabu besok (3/7/2024). Lantas, sebenarnya siapa Brain Cipher ini?

Mengenal Brain Cipher sebagai hacker

Brain Cipher merupakan kelompok hacker yang diduga bertanggung jawab atas serangan ke PDNS belakangan ini. Mereka baru-baru ini membuat pengumuman yang ditujukan untuk pemerintah dan masyarakat Indonesia atas kejadian serangan ke PDNS.

Pengumuman yang diunggah di dark web itu berjudul “More Important than Money, Only Honor” dengan tercantum logo Kemenkominfo. Pada pengumuman itu, Brain Cipher berjanji akan memberikan kunci untuk membuka data PNDS secara gratis pada besok Rabu.

Kemudian, akibat serangan ransomware yang dilakukan, mereka juga berpesan agar pemerintah meningkatkan sistem keamanan siber.

"Hari Rabu ini, kami akan merilis kunci enkripsi (PDNS 2) kepada Pemerintah Indonesia secara gratis. Kami harap serangan kami membuat pemerintah sadar bahwa mereka perlu meningkatkan keamanan siber mereka, terutama merekrut SDM keamanan siber yang kompeten," ujar Brain Cipher.

"Serangan kami tidak melibatkan isu politik, dan murni merupakan ransomware yang meminta tebusan seperti biasanya," imbuh Brain Cipher.

Dalam pengumuman itu, Brain Cipher juga turut meminta maaf kepada semua rakyat Indonesia untuk kegaduhan yang mereka buat.

"Kami meminta maaf kepada publik atas semua yang terjadi, dan kami juga meminta publik paham bahwa keputusan ini kami buat secara independen, tidak dipengaruhi oleh siapa pun," kata Brain Cipher.

Tak banyak informasi profil Brain Cipher yang ditampilkan dalam laman atau platform, yang dipakai untuk membagikan pengumuman tersebut. Brain Cipher hanya mengatakan laman dibuat untuk mengumumkan perusahaan atau lembaga yang terkena serangan.

Selain itu, dalam laman tersebut, Brain Cipher juga mencantumkan beberapa aturan terkait pembayaran tebusan. Misalnya, Brain Cipher membuat ketentuan apabila pembayaran tebusan dilakukan melalui platform blockchain menggunakan mata uang kripto Monero.

Kemudian, korban juga tidak boleh melibatkan pihak ketiga atau otoritas keamanan seperti FBI, CSI, NSA, dan lainnya. Jika melanggar syarat yang diminta, Brain Cipher bakal menghentikan negosiasi dan memublikasikan data korban ke website mereka.

Saat negosiasi berjalan dengan baik, Brain Ciphermenjamin seluruh informasi yang diunggah bakal dihapus dari server mereka. Semua postingan, website, dan laman untuk menujukkan data bojor juga dijamin akan dihapus.

Negosiasi dilakukan melalui chat di laman dark web milik Brain Cipher. Setiap korban akan diberi ID unik terenkripsi untuk mengakses layanan chat itu. Jika kesusahan mengakses chat, Brain Cipher menyediakan alamat e-mail anonim “brain.support@cyberfear.com”.

Hingga saat ini, belum banyak aksi serangan Brain Cipher yang terdokumentasikan. Menurut Lawrence Abrams, analis malware dan pemilik media BleepingComputer, Brain Cipher diperkirakan baru beroperasi Juni lalu, dengan Indonesia menjadi salah satu korbannya.

Brain Cipher sebagai ransomware

Abrams mengaku telah mengetahui banyak sampel ransomware Brain Cipher yang diunggah ke berbagai situs berbagi malware selama beberapa minggu kemarin.

Dari beberapa sampel yang ada, Abrams mengatakan jika Brain Cipher dibuat dengan berbasis program ransomware LockBit 3.0 yang bocor dan dipakai hacker lain untuk membuat program ransomware-nya sendiri.

Dibanding ransomware LockBit 3.0 biasa, Brain Cipher dijelaskan telah membuat beberapa perubahan kecil pada enkripsi. Salah satunya adalah ransomware Brain Cipher tidak hanya menambahkan ekstensi ke file terenkripsi, tapi Brain Cipher juga mengenkripsi nama file.

Kemudian, Brain Cipher juga akan membuat catatan atau peringatan serangan dengan nama (ekstensi).README.txt. Catatan serangan tersebut setidaknya berisi pesan kondisi serangan yang terjadi, ancaman, dan tautan ke laman layanan chat mereka di dark web.

Dalam sampel Brain Cipher lain, terdapat pula variasi catatan serangan dengan nama file “How To Restore Your Files.txt”.

Dalam melakukan serangan, Abrams mengatakan, operasi Brain Cipher mirip dengan ransomware lainnya. Brain Cipher akan menerobos jaringan komputasi perusahaan atau lembaga dan menyebar secara lateral ke perangkat lain.

Setelah itu, hacker akan mencuri kredensial admin di sistem operasi. Kemudian, mereka akan menyebarkan ransomware ke seluruh jaringan untuk mengunci atau mengenkripsi semua data yang tersimpan.

Namun, sebelum mengenkripsi data, hacker akan mencuri data perusahaan untuk dijadikan sebagai alat memeras korban. Mereka akan mengancam korban jika tebusan tidak dibayar maka data yang dicuri dan dikunci akan dibagikan ke publik.

Kronologi serangan ransomware LockBit 3.0 Brain Cipher ke PDNS

Berdasarkan hasil investigasi tim, menurut keterangan BSSN, serangan ransomware LockBit 3.0 Brain Cipher ke PDNS telah dilancarkan tiga hari sebelum gangguan terjadi, tepatnya pada 17 Juni 2024, pukul 23.15 WIB.

Pada waktu tersebut, ditemukan adanya upaya penonaktifkan fitur keamanan Windows Defender, yang akhirnya memungkinkan serangan bisa beroperasi.

Kemudian, aktivitas malicious mulai terjadi pada 20 Juni 2024 pukul 00.54 WIB. Aktivitas ini seperti melakukan instalasi file malicious, menghapus sistem file penting, dan menonaktifkan service yang sedang berjalan.

Selanjutnya, file yang berkaitan dengan penyimpanan, seperti VSS, HyperV Volume, VirtualDisk, dan Veaam vPower NFS, mulai dinonaktifkan dan crash.

Serangan ini juga mengakibatkan gangguan pelayanan pada 210 instansi pemerintah, baik pusat maupun daerah. Instansi yang layanannya terdampak antara lain Kementerian Hukum dan HAM (Kemenkumham), Kementerian Koordinator Bidang Kemaritiman dan Investasi (Kemenkomarves), Kementerian PUPR, LKPP, serta Pemerintah Daerah Kediri.

Namun, dari 210 instansi terdampak, gangguan paling parah terjadi pada pelayanan keimigrasian Kemenkumham. Sebab, layanan publik tersebut menjadi salah satu yang paling intens diakses masyarakat. Pada 24 Juni 2024, layanan imigrasi berangsur pulih.

Dalam pemulihan data di server PDNS, sayangnya tak banyak data yang bisa diselamatkan akibat serangan ransomware ini. Sebagai informasi, PDNS yang terkena ransomware berlokasi di Surabaya atau PDNS 2.

Berdasarkan penuturan Kepala BSSN Hinsa Siburian dalam rapat kerja bersama Komisi I DPR RI pada 27 Juni lalu, data di PDNS 2 Surabaya yang terkena ransomware hanya memiliki backup sekitar 2 persen

Padahal, ada tiga PDNS yang dimiliki pemerintah, yakni PDNS 1 di Serpong, PDNS 2 di Surabaya, dan Cold site di Batam. Namun, Cold site di Batam hanya memiliki sekitar 2 persen cadangan data dari semua data di PDNS 2 Surabaya yang terkena ransomware.

Dapatkan update berita teknologi dan gadget pilihan setiap hari. Mari bergabung di Kanal WhatsApp KompasTekno. Caranya klik link https://whatsapp.com/channel/0029VaCVYKk89ine5YSjZh1a. Anda harus install aplikasi WhatsApp terlebih dulu di ponsel.